의료 기관을 노리는 킬넷 - 알아야 할 것과 해야 할 것
최근 미사일과 드론 공습이 이어지며, 우크라이나 전쟁이 다시 가열되고 있습니다. 서방 동맹국들이 러시아군을 밀어내기 위한 탱크 지원을 약속한 후에 격해지고 있는 것입니다. 그러나 사이버 범죄자에 대한 전쟁은 더욱 가까운 곳에서 벌어지고 있으며, 특히 미국 의료 기관과 병원에서 활발하게 일어나고 있습니다.
친러시아 그룹 킬넷은 지난 며칠 동안 미국 내 주요 병원과 의료 센터를 대상으로 일련의 DDoS(Distributed Denial-of-Service) 공격을 가했으며, 많은 전문가는 이와 유사한 공격이 우크라이나를 지원하는 다른 국가들에서도 광범위하게 확산될 수 있다고 주장합니다.
킬넷이 친숙한 이유
킬넷은 새로운 것이 아니며, 정부 기관, 민간 기업(이제는 의료 기관까지)을 대상으로 하는 공격의 성격이 진화하고 있습니다. 킬넷은 최근 DDoS 공격으로 유럽 연합 의회(EP) 웹사이트를 다운시킨 친러시아 해커 단체이며 이에 앞서 로베르타 메쏠라(Roberta Metsola) 의장은 EP의 지도자들이 "러시아를 테러 후원국으로 선포"했다고 발표했습니다. 리투아니아, 체코, 루마니아 정부의 웹사이트도 공격을 받았습니다.
미국 내 공격은 더욱 광범위하게 이루어지고 있습니다. 킬넷은 작년에 3여 곳의 주정부 웹사이트를 노렸습니다. 2022년 10월 미국 공항 웹사이트도 킬넷으로부터 피해를 입었고 2022년 8월 사이버 공격으로 방위 산업체 Lockheed Martin의 직원 데이터를 훔친 것도 킬넷이었습니다.
이러한 모든 기관이 중요한 인프라지만, 의료 시스템을 공격하는 것은 한 단계 더 나아가 일거에 수백만 명의 환자들에게 타격을 줄 수 있는 잠재력이 있습니다.
일반적인 기법, 고유한 표적
킬넷은 먼저 HTTP 플러드로 웹사이트를 공격한 다음 DNS 확대 공격으로 사이트를 공격하는 2단계 공격을 사용합니다. 이 기법이 독특한 것은 아니지만, 킬넷이 최근 의료 업계에 집중하고 있다는 사실은 새롭습니다.
바이든 행정부가 작년 말 사이버 보안 가이드와 요구사항을 강화할 핵심 분야로 의료 분야에 주목한 바 있기 때문에 친러시아 단체가 이러한 취약점을 악용하는 것은 어느 정도 예상 가능한 일이었습니다. 이러한 취약점이 가정인지 확인이 되는지 여부는 중요하지 않습니다.
Akamai가 알고 있는 것 - 도울 수 있는 방법
킬넷 공격자들은 표적에 대해 광범위한 리서치를 수행하고 있으며, 최근 이벤트에서 의료 업계를 계속 주요 표적으로 노릴 가능성이 있다는 사실이 드러났습니다. 의료 업계가 빠르게 디지털화함에 따라 체계, 인프라, 방어에 대한 논의도 진화하고 있습니다.
Akamai는 이러한 논의에 익숙하며, 데이터를 검토하고 공격자 정찰 기법을 검토함으로써 선제적으로 대화를 주도하고 있습니다. 의료 부문의 경우 2022년 Akamai 플랫폼에서 DDoS 공격을 가장 많이 받은 업계(디지털 상거래 등 업계의 기존 특성상 규모가 큰 주요 업계는 제외)이기 때문에 특히 중요합니다.
Akamai가 관측한 바에 따르면 킬넷 같은 조직들은 현재 누가 보호되고 있는지, 누가 보호되고 있지 않은지를 잘 알고 있는 것처럼 보입니다. DDoS 공격은 잘 보호되지 않는 엔티티에 집중하는 경향이 있습니다. 공격자는 세심하고 정밀한 정찰을 통해 다음에 공격할 표적을 결정합니다.
리스크를 해결하는 데 필요한 것을 평가하는 데 필요한 시간과 리소스를 확보하는 것은 어렵지만, 평시에 수립된 대응 계획 없이 사이버 전쟁에 나서는 것보다 더 나쁜 것은 없습니다."
Akamai 보안 운영 담당 부사장 로저 바랑코(Roger Barranco)
간단한 HTTP 요청 또는 BGP 피어링 검색은 공격자 머신에서 표적 웹 서버로의 요청 경로를 검증하거나 표적 인프라가 BGP 및 라우팅 기반의 DDoS 차단 기능에 의해 보호되는지를 판단할 수 있습니다.
다음 단계는 무엇일까요?
아무도 미래를 예측할 수 없습니다. 하지만 최근 코로나19, 수익성 감소, 인력 부족 등 다양한 문제에 직면한 의료 산업에서는 준비 상황에 대한 논의가 주로 임상적 또는 재정적 결과에 초점을 맞추고 있을 가능성이 높습니다.
바뀌어야 하는 부분입니다. 오늘날 환자를 보호하는 것은 마스크 착용이나 예방 접종을 시행하는 것 이상의 문제입니다. 이것은 환자의 개인 정보를 보호하고, 24시간 연중무휴로 의료 서비스를 제공하기 위해 지속적인 가동이 필요한 시스템을 총체적으로 보호하는 것을 의미합니다. 위협 준비 상태 평가도 논의의 필수적인 부분이며, Akamai는 이를 주도할 수 있는 역량을 갖추고 있습니다.
기업이 방어 체계의 비교적 취약한 레이어와 관련된 리스크를 수용할 경우 프로비저닝 시간, 프로비저닝 동안의 영향, 기존 장비 설정 요구사항, 비용 등 최소한 비상 상황에 대한 온보딩 노력을 통해 업무를 수행하는 데 필요한 사항을 기술적으로 평가해야 합니다."
Akamai 보안 운영 담당 부사장 로저 바랑코(Roger Barranco)
